Feed de ameaças
CVE-2026-45247 — RCE não autenticado em uma extensão do Magento via PHP object injection
CVE-2026-45247: PHP object injection (desserialização de dados não confiáveis, CWE-502) na extensão Mirasvit Full Page Cache Warmer para Magento 2 antes da 1.11.12 → RCE não autenticado, CVSS 9.3. O que é, a faixa afetada e as correções a fazer agora — de forma defensiva, sem passos de ataque.
Um boletim sobre uma vulnerabilidade ativamente explorada (listada na CISA KEV). O que acontece, a faixa afetada e as correções — explicados de forma defensiva, sem passos de ataque.
- CVE
- CVE-2026-45247
- Severidade
- Crítica (CVSS 9.3 / v4.0)
- Classe
- PHP object injection (desserialização de dados não confiáveis, CWE-502)
- Impacto
- Execução remota de código (RCE) não autenticada
- Afetado
- Mirasvit Full Page Cache Warmer for Magento 2 — antes da 1.11.12
- Correção real
- Atualizar para a 1.11.12 ou posterior
Por que a negligência é perigosa
RCE não autenticado é um alvo primário para scanners cegos (por isso está listado na KEV). "Somos pequenos demais para sermos alvo" não se sustenta — scanners varrem a internet inteira de forma mecânica.
O que é a vulnerabilidade (PHP object injection)
O PHP tem serialize para transformar dados em string e unserialize para restaurá-los. Desserializar entrada não confiável tal como está permite que um invasor passe "um objeto que causa efeitos colaterais indesejados ao ser restaurado". Durante a restauração (métodos mágicos, etc.), comportamentos não intencionais se encadeiam e podem alcançar execução de código — isso é PHP object injection (CWE-502).
✗ Restaurar entrada não confiável
entrada externa → unserialize em um objeto → cadeia de restauração → execução de código
✓ Tratar como dado
aceitar entrada externa apenas como dado (JSON, etc.) → nunca reconstruir objetos
O componente afetado é uma extensão de aquecimento de cache para o Magento 2. O invasor o alcança sem autenticação, e o CVSS o classifica em 9.3 — pior classe.
Faixa afetada
| Item | Detalhe |
|---|---|
| Extensão | Mirasvit Full Page Cache Warmer for Magento 2 |
| Versões afetadas | antes da 1.11.12 |
| Versão corrigida | 1.11.12 e posteriores |
| Pré-condição | Nenhuma autenticação necessária |
| Impacto alcançado | Execução remota de código (RCE) |
Correções
Atualize para a 1.11.12+ (prioridade máxima, a correção real)
Ganhe tempo com defesa em profundidade
Verifique se houve comprometimento
Inventarie extensões + monitoramento de CVE por máquina
A visão deste site: projete a desserialização para fora
Esta classe nunca morre — porque é "conveniente" restaurar entrada externa diretamente. A postura deste site é clara: nunca crie um lugar que faça unserialize de dados não confiáveis. Aceite entrada externa apenas como dado (ex.: json_decode), nunca para reconstruir objetos. Então esta classe desaparece por design.
Leia em seguida
- Glossário: O que é RCE · O que é CVE · O que é CVSS
- Feed: Feed de ameaças
FAQ
QO que o CVE-2026-45247 permite?
Um invasor não autenticado pode executar código arbitrário (RCE) em um site Magento que roda a extensão afetada — um caminho direto para desfiguração, roubo de dados e uma base de apoio para outros sistemas. É uma vulnerabilidade de pior classe.
QQual é a correção mais confiável?
Atualize a extensão 'Mirasvit Full Page Cache Warmer for Magento 2' para a 1.11.12 ou posterior. A atualização é o fechamento real; mudanças de configuração e um WAF são defesa em profundidade para ganhar tempo até você conseguir corrigir.
QO que é PHP object injection?
Desserializar entrada não confiável tal como está (via unserialize, etc.) de modo que um objeto fornecido pelo invasor seja reconstruído, encadeando-se em comportamento não intencional (CWE-502). A defesa real é nunca desserializar dados não confiáveis.